x
 
Никита Семёхин
25 января 2018
Советы почтой каждую неделю
Пожалуйста, получите наше письмо, чтобы подтвердить свой адрес:
Вы подписаны на «Советы за неделю»:

Заметил, что сайт бюро перешел на HTTPS. Расскажите, как переходили?


Мы заду­ма­лись о пере­езде на HTTPS в декабре 2016. Это дало бы нам чуть больше про­из­во­ди­тель­но­сти с HTTP/2, без­опас­ную пере­дачу дан­ных, а Хром начал бы счи­тать наш сайт «надёжным».

19 декабря 2017 года мы пере­клю­чили сайт бюро на HTTPS и HTTP/2. Пере­езд занял год по двум при­чи­нам: дру­гие при­о­ри­теты и ссылки с http://

Рас­скажу, как раз­би­ра­лись со всем этим, в хро­но­ло­ги­че­ском порядке.

Январь

Рас­ска­зы­ваем Артёму про HTTPS и свет­лое буду­щее, полу­чаем добро. Ничего не начи­наем делать, потому что все заняты новым сай­том бюро.

Февраль

Запус­каем новый сайт.

Смот­рим, что мешает прямо сей­час перейти на HTTPS — небез­опас­ные ссылки. Если стра­ница загру­жена по HTTPS, бра­у­зер не загру­жает стили, скрипты и шрифты по http://. Стра­ница молча ломается.

К сожа­ле­нию, на сайте бюро такого полно. Напри­мер, про­екты в порт­фо­лио исполь­зуют jQuery с http://code.jquery.com, а основ­ной файл со сти­лями сайта загру­жает Бюро­санс и Бюро­се­риф по HTTP. Если прямо сей­час вклю­чить HTTPS, сайт пере­ста­нет работать.

Март

При­ду­мы­ваем стра­те­гию мигра­ции. Дого­ва­ри­ва­емся, что все новые сер­висы запус­каем сразу с HTTPS, а на ста­рых стра­ни­цах исправ­ляем ссылки на небез­опас­ные ресурсы по пра­вилу бой­ска­ута — «остав­ляйте стра­ницу чище, чем вы её застали».

Раз­ра­бот­чик исправ­ляет под­пись к фото­гра­фии автора на про­мо­стра­нице «Типо­гра­фики и вёрстки». Заме­чает про­блем­ные ссылки:

<script src="http://artgorbunov.ru/js/doublehover.js"></script>
<script src="http://code.jquery.com/jquery-1.10.2.min.js"></script>
<link href="http://cdnjs.cloudflare.com/ajax/libs/fotorama/4.6.4/fotorama.css">

Помня о пра­виле бой­ска­ута, исправ­ляет их таким обра­зом, чтобы они рабо­тали и по HTTP, и по HTTPS:

<script src="/js/doublehover.js"></script>
<script src="//code.jquery.com/jquery-1.10.2.min.js"></script>
<link href="//cdnjs.cloudflare.com/ajax/libs/fotorama/4.6.4/fotorama.css">

Апрель

Решаем, что сна­чала пере­едем с artgorbunov.ru на bureau.ru. Ста­вим HTTPS на паузу.

Кроме того, мы забыли про СЕО. Перед пере­ез­дом надо разо­браться с тем, что поис­ко­вики плохо видят сайт бюро: попра­вить непо­нят­ные 302 реди­ректы, разо­браться с под­до­ме­нами и дуб­лями, доба­вить robots.txt и сайтмап.

Май — июнь

Исправ­ляем реди­ректы, раз­би­ра­емся с под­до­ме­нами, добав­ляем сайт­мапы и robots.txt.

При­ду­мы­ваем стра­те­гию мигра­ции с artgorbunov.ru на bureau.ru без потерь поль­зо­ва­тель­ских сес­сий и кук. Пере­ез­жаем на bureau.ru.

Июль

Сертификаты автоматически выдаёт и продлевает Certbot

Воз­вра­ща­емся к HTTPS. Настра­и­ваем bureau.ru так, чтобы рабо­тал и по HTTPS. Сер­ти­фи­каты берём в Let’s Encrypt. HTTPS‑вер­сию скры­ваем от всех паролем.

Сертификаты автоматически выдаёт и продлевает Certbot

Август

Бла­го­даря пра­вилу бой­ска­ута, боль­шая часть стра­ниц в порт­фо­лио готова к HTTPS. Про­хо­димся по HTTPS‑вер­сии вруч­ную, ищем, что ещё сло­ма­лось. Соби­раем в список:

Сентябрь — ноябрь

Гото­вим к HTTPS глав­ное меню, стра­ницы кур­сов и школ. Исправ­ляем небез­опас­ные ссылки в сти­лях и скрип­тах. Исправ­ляем ссылки в сове­тах: боль­шую часть исправ­ляем авто­ма­ти­че­ски, остав­ше­еся раз­би­раем вручную.

Декабрь

Выби­раем время для пере­езда. Неделя с 18 декабря подой­дёт: закон­чи­лась пер­вая сту­пень в шко­лах, бли­жай­ший пуск (элек­трон­ная полка) — 25 декабря.

Соби­раем чек­лист для запуска:

  • реди­рек­тить все с http://bureau.ru на https://bureau.ru/;
  • пере­ве­сти ста­рый сер­вер с HTTP на HTTPS и HTTP/2;
  • попра­вить реди­ректы с artgorbunov.ru на https://bureau.ru;
  • пере­за­пу­стить nginx;
  • пере­клю­чить бэкенды на HTTPS;
  • обно­вить школь­ные штуки с Гугл‑рей­тин­гом на работу с HTTPS;
  • обно­вить сайтмап;
  • убе­диться, что все кри­тич­ные под­си­стемы сайта рабо­тают: Бюро­сфера, при­вязка карт, запись в школы и на курсы, советы, книги и школь­ный кабинет;
  • опо­ве­стить всех.

19 декабря с 9:00 до 10:30 пере­во­дим bureau.ru на HTTPS и вклю­чаем HSTS.

Что дальше

Впе­реди ещё две слож­ных задачи: без­опас­ные, доступ­ные только по HTTPS, куки и поте­рян­ные лайки. О них — в буду­щих советах.

Ещё по теме

Вёрстка и прототипирование — дисциплина Школы дизайнеров. Набор закрыт. Оставьте почту, и мы напишем вам, когда откроется следующий набор.
 

Поделиться
Отправить

Комментарии

Роман Рыбальченко
10 февраля 2018

Дополню ваш годовой марафон перехода на HTTPS моим опытом
https://roman.ua/internet-marketing/kak-perejti-na-https/

Обратите внимание на:
— <meta name="referrer" …
— rel="canonical"
— вебмастер тулзы от поисковых систем
— и некоторые удобные инструменты


Цель рубрики — обсуждение вопросов дизайна всех видов, текста в дизайне и взаимоотношений дизайнеров с клиентами.

Мы публикуем комментарии, которые добавляют к уже сказанному новые мысли и хорошие примеры. Мы ожидаем, что такие комментарии составят около 20% от общего числа.

Решение о публикации принимается один раз; мы не имеем возможности комментировать или пересматривать свое решение, хотя оно может быть ошибочно. Уже опубликованные комментарии могут быть удалены через некоторое время, если без них обсуждение не становится менее ценным или интересным.

Вот такой веб 2.0.

Что делает тег meta с атрибутом name="viewport"? Зачем его указывать? Автотесты «на пальцах» 1 Как следить за качеством кода? Часть третья: процессы 3 Принципы надёжной вёрстки 5




Недавно всплыло

Хочу научиться сторителлингу 12 Как найти себе замену 1 2 2